V bezplatném kancelářském balíku LibreOffice byla identifikována zranitelnost (CVE-2022-3140), která umožňuje spouštění libovolných skriptů při kliknutí na speciálně připravený odkaz v dokumentu nebo při spuštění určité události při práci s dokumentem. Problém byl opraven v aktualizacích LibreOffice 7.3.6 a 7.4.1.
Tato chyba zabezpečení je způsobena přidáním podpory pro další schéma volání maker „vnd.libreoffice.command“, které je specifické pro LibreOffice. Toto schéma lze také použít v URI používaných k integraci LibreOffice se serverem MS SharePoint. Útočník může takové URI použít k vytvoření odkazů, které volají jakákoli interní makra s libovolnými argumenty. Když se klikne nebo aktivuje událost v dokumentu, lze takové odkazy použít ke spuštění skriptů, aniž by se uživateli zobrazilo varování.
Zdroj: opennet.ru